보안 이슈

AhnLab 보안 전문가의 심층분석! 보안 이슈 정보를 전해드립니다.

FARGO 랜섬웨어 유포 중! 표적은 '취약한 MS-SQL 서버'

  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

  • AhnLab
  • 2022-09-21

최근 안랩 ASEC 분석팀이 FARGO 랜섬웨어를 발견했다. FARGO GlobeImposter와 같이 취약한 MS-SQL 서버를 공격하는 대표적인 랜섬웨어로, 개인의 중요한 문서나 파일을 해독 불가능한 알고리즘으로 암호화한다. 과거 .mallox 확장자를 사용했기에 ‘Mallox’라고도 불린다. FARGO의 동작 및 유포 방식을 자세히 알아보자.

 

 


 

 


[그림 1] 프로세스 트리

 

[그림 1]의 프로세스 트리에서 MS-SQL 프로세스에 의해 cmd.exe 또는 powershell.exe를 거쳐 다운로드된 파일은 닷넷 프레임워크(.NET Framework)를 통해 생성된 것으로, [그림 2]처럼 특정 주소에서 추가 악성코드를 불러온다. 해당 악성코드는 %temp% 경로에 BAT 파일을 생성하고 실행한다. BAT 파일은 특정 프로세스 및 서비스를 강제로 종료하는 명령어이다.

 


[그림 2] 추가 파일 다운로드

 


[그림 3] BAT 파일 생성 및 실행

 


[그림 4] BAT 파일 내용

 

해커는 FARGO 랜섬웨어를 정상적인 윈도우 프로그램인 AppLaunch.exe에 주입하여 공격을 실행한다. [그림 5]의 특정 경로에 존재하는 레지스트리 키 삭제를 시도하며, [그림 6]과 같이 복구 비활성화 명령어를 실행하고 특정 SQL 프로그램의 프로세스를 종료한다.


[그림 5] 레지스트리 삭제

 


[그림 6] 복구 비활성화 및 프로세스 종료

 

다만, FARGO 랜섬웨어가 파일을 암호화할 때 [1]의 확장자는 감염되지 않는다. 여기서 특이한 점은 GlobeImposter 확장자를 비롯해 동일한 유형의 확장자인 .FARGO.FARGO2, .FARGO3, 그리고 이후 버전인 .FARGO4도 목록에 포함됐다는 것이다.


[1] FARGO 감염 대상에서 제외된 확장자

 


[표 2] FARGO 감염 대상에서 제외된 파일

 


[표 3] FARGO 감염 대상에서 제외된 경로

 

FARGO에 의해 암호화된 파일은 [그림 7]처럼 '원본파일명.확장자.FATGO3'의 형태가 되며, ‘RECOVERY FILES.text’라는 이름으로 랜섬노트가 생성된다. 랜섬노트는 파일이 랜섬웨어에 감염됐을 때 바탕화면 및 폴더에 생성되는 메모장으로, 감염된 랜섬웨어 및 결제에 관한 정보를 표시한다.

 


[그림 7] 랜섬노트 및 감염 파일

 

FARGO 랜섬웨어는 계정 정보 관리가 허술한 데이터베이스 서버를 대상으로 무차별 대입 및 사전 공격을 가한다. 이밖에 취약점이 패치되지 않은 시스템도 공격할 수 있다.

 

따라서 MS-SQL 서버 관리자는 계정의 비밀번호를 추측하기 어려운 형태로 설정하고 주기적으로 변경해야 한다. 또한, 반드시 최신 버전으로 패치해 이 같은 위협에 대비해야 한다.

자세한 내용은 ASEC 블로그에서 확인할 수 있다.

 

ASEC 블로그 바로가기

  • AhnLab 로고
  • 콘텐츠기획팀
  • Facebook에 공유하실 수
    있습니다.

  • Twitter에 공유하실 수
    있습니다.

  • Linked in

    Linked in에 공유하실 수
    있습니다.

  • 붙여넣기

    블로그나 게시판에 붙여넣기 하실
    수 있습니다.

지금 마케팅 안내 수신 동의하고
선물 받아가세요!

이벤트 내용 더 보기
세미나/제품/이벤트 안내

더 알아보기

개인정보 수집 및 이용 동의서

선물 발송을 위해 아래와 같이 개인정보를 수집 및 사용합니다.
동의를 거부할 수 있으나, 동의 거부 시 이벤트 참여가 불가능 합니다.

  1. ㆍ수집 항목 : 이름, 휴대전화번호
  2. ㆍ수집 목적 : 참여자 중복 확인, 공지 발송, 경품 발송
  3. ㆍ보유기간 : 이벤트 종료 후 지체 없이 파기(단, 당첨자의 경우 경품 배송 후 30일)
  4. ㆍ경품 발송 위탁: 쿠프마케팅 (모바일상품권 발송업체)
참여하기
닫기